为了避免入侵被发现,攻击者总是使用各种方法来隐藏自己,例如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除过程中产生的痕迹入侵进程等01.Windows日志清除windows日志路径:系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx注册表中日志的key:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlogwindows日志清除方法:(1)最简单粗暴的方法开始→运行,输入eventvwr要进入事件查看器,请选择右侧栏中的清除日志。(2)一键清除Windows事件日志的命令行(3)利用脚本停止记录日志,通过脚本遍历事件日志服务进程(特指svchost.exe)的线程栈,识别出eventlogthread杀死事件日志服务线程。结果,系统将无法收集日志,而事件日志服务似乎正在运行。github项目地址:https://github.com/hlldz/Invoke-Phant0m(4)WindowsSingleLogClear本工具主要用于删除Windows事件日志中的指定记录。github项目地址:https://github.com/QAX-A-Team/EventCleaner(5)Windows日志伪造利用eventcreate命令行工具伪造日志或用大量自定义垃圾信息覆盖已有日志。eventcreate-lsystem-soadministrator-twarning-d"thisisatest"-id50002,IIS日志IIS默认日志路径:%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\清除WWW日志:停止服务:netstopw3svc删除日志中的所有文件目录:del*.*启用服务:netstartw3svc03,使用Windows内置命令进行安全擦除(1)Shift+Delete快捷键永久删除直接删除文件,也可以在回收站中找到,使用Shift+删除快捷键直接永久删除。不过有了数据恢复软件,可以尽快恢复被删除的文件,否则新的文件会覆盖掉原来的文件痕迹,很难恢复。(2)Cipher命令多次覆盖删除一个文件后,可以使用Cipher命令通过/W参数重复写入其他数据覆盖被删除文件的硬盘空间,彻底删除数据,防止数据被恢复.比如删除D:\tools目录下的文件,然后执行这个命令:cipher/w:D:\tools这样,D盘未使用的空间就会被覆盖三次:一次0x00,一次0xFF,一旦随机编号,所有删除的文件都无法恢复。(3)Format命令覆盖格式在Format命令中加入/P参数后,每个扇区会先被清除,然后用一个随机数覆盖。并且可以覆盖多次。例如:命令格式D:/P:8表示用随机数覆盖D盘8次。04.清除远程桌面连接记录。通过本机远程连接到其他客户端或服务器后,远程桌面连接记录将保存在本机上。代码保存为clear.bat文件,双击运行即可自动清除远程桌面连接记录。@echooffregdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Default"/va/fregdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Servers"/fregadd"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\d%Servers\d%servers"%udoc"%rdp-s-hdelDefault.rdp05,Metasploittrace去除(一)查看事件日志meterpreter>runevent_manager-i[*]RetrivingEventLogConfigurationEventLogsonSystem===================NameRetentionMaximumSizeRecords--------------------------------ApplicationDisabled20971520K2149HardwareEventsDisabled20971520K0InternetExplorerDisabledK0KeyManagementServiceDisabled20971520K0SecurityDisabled20971520K1726SystemDisabled20971520K3555WindowsPowerShellDisabled15728640K138(2)清除事件日志(包括六种日志类型)meterpreter>runevent_manager-c(3)此外,还可以输入clearv命令清除目标系统的事件日志(只包含三种日志类型)meterpreter>clearev[*]Wiping4recordsfromApplication...[*]Wiping8recordsfromSystem...[*]擦拭7r来自安全部门的记录...
